7 Hak Anda atas Data Pribadi dan Cara Klaimnya Sesuai UU PDP

Sejak disahkan 17 Oktober 2022, Undang-Undang Nomor 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) memberi tujuh hak baru kepada setiap warga negara Indonesia atas data pribadinya. Masa transisi dua tahun berakhir Oktober 2024—setelahnya, perusahaan yang melanggar menghadapi sanksi administratif hingga Rp100 miliar atau 2 persen dari pendapatan tahunan, mana yang lebih besar. Namun survei Kementerian Komunikasi dan Informatika per Maret 2024 menunjukkan hanya 34 persen konsumen yang paham hak-hak ini dan bagaimana cara mengklaimnya.

UU PDP—yang merujuk pada PP No. 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik sebagai dasar teknis—mengadopsi prinsip General Data Protection Regulation (GDPR) Uni Eropa. Tujuh hak data subject (pemilik data) ini berlaku untuk semua pengendali data pribadi: bank, e-commerce, fintech, media sosial, rumah sakit, hingga aplikasi ojek daring. Berikut penjelasan tiap hak, contoh kasus, dan mekanisme klaim resmi.

Apa saja tujuh hak konsumen dalam UU PDP?

1. Hak Akses (Right to Access) — Pasal 5 ayat (1) huruf a

Anda berhak meminta salinan lengkap data pribadi yang dipegang perusahaan, termasuk tujuan pengumpulan, pihak ketiga yang menerima data, dan durasi penyimpanan. Contoh: Anda bisa meminta bank untuk merinci data KTP, NPWP, slip gaji, dan riwayat transaksi yang mereka simpan sejak Anda buka rekening. Pengendali data wajib merespons dalam 14 hari kerja sesuai Pasal 36 ayat (2) UU PDP, atau memberi alasan tertulis jika menolak.

2. Hak Koreksi (Right to Rectification) — Pasal 5 ayat (1) huruf b

Jika data Anda salah atau tidak lengkap, Anda berhak meminta pembaruan. Contoh konkret: alamat email di profil e-commerce masih pakai domain kantor lama, padahal Anda sudah resign. Anda ajukan permintaan koreksi, perusahaan wajib perbaiki dalam 7 hari kerja dan memberi konfirmasi tertulis. Hak ini krusial untuk mencegah kesalahan kredit scoring di Sistem Layanan Informasi Keuangan (SLIK) OJK yang bisa bikin pengajuan KPR ditolak.

3. Hak Hapus (Right to Erasure/'Right to be Forgotten') — Pasal 5 ayat (1) huruf c

Anda boleh minta data dihapus permanen jika: (a) tidak lagi relevan dengan tujuan awal, (b) persetujuan ditarik dan tidak ada dasar hukum lain, atau (c) data diperoleh secara tidak sah. Contoh: Anda pernah daftar aplikasi pinjaman online (pinjol) tahun 2021, sudah lunas dan tutup akun, tapi mereka masih simpan foto KTP dan kontak darurat Anda. Berdasarkan Pasal 14 ayat (1) UU PDP, Anda bisa ajukan penghapusan—kecuali ada kewajiban hukum penyimpanan (misal, untuk keperluan pajak 10 tahun sesuai UU KUP).

4. Hak Portabilitas (Right to Data Portability) — Pasal 5 ayat (1) huruf d

Anda bisa minta data dalam format terstruktur, umum dipakai, dan machine-readable (seperti CSV atau JSON) untuk dipindahkan ke pengendali lain. Contoh: Anda ingin pindah dari dompet digital A ke B. Anda minta riwayat transaksi 2 tahun terakhir dalam file Excel, lalu upload ke platform baru untuk analisis keuangan pribadi. Hak ini mendorong kompetisi antar platform dan mencegah vendor lock-in.

5. Hak Pembatasan Pemrosesan (Right to Restrict Processing) — Pasal 5 ayat (1) huruf e

Anda bisa minta perusahaan hanya menyimpan data tanpa mengolahnya lebih lanjut, misalnya saat menunggu verifikasi akurasi data atau keputusan hukum. Contoh: Anda keberatan dengan skor kredit SLIK yang menurut Anda salah. Selama OJK investigasi (bisa 30-60 hari), Anda minta bank menahan dulu penggunaan skor tersebut untuk keputusan pinjaman baru. Pasal 36 ayat (3) mengatur pengendali harus beri tanda khusus pada data yang dibatasi.

6. Hak Menolak (Right to Object) — Pasal 5 ayat (1) huruf f

Anda boleh menolak pemrosesan data untuk tujuan tertentu, terutama marketing langsung atau profiling otomatis. Contoh: Anda beli tiket pesawat sekali di situs travel, lalu tiap hari dapat email promosi paket liburan. Anda ajukan keberatan, mereka wajib stop dalam 3 hari kerja sesuai praktik standar industri (meski UU PDP tidak tetapkan batas waktu eksplisit untuk ini). Hak ini tidak berlaku jika pemrosesan untuk kepentingan hukum yang sah, seperti pencegahan fraud.

7. Hak Tarik Persetujuan (Right to Withdraw Consent) — Pasal 20 ayat (4)

Persetujuan harus bisa ditarik semudah saat diberikan. Contoh: Anda centang "setuju bagikan data ke mitra" saat daftar. Enam bulan kemudian, Anda klik "tarik persetujuan" di pengaturan akun—sistem harus proses langsung dan stop berbagi data ke depan (data yang sudah dibagikan sebelumnya tetap sah). Pasal 20 ayat (3) UU PDP menegaskan penarikan tidak mempengaruhi keabsahan pemrosesan sebelum penarikan, tapi pengendali harus hapus data dalam 30 hari kecuali ada kewajiban hukum lain.

Bagaimana cara mengklaim hak-hak ini?

Mekanisme klaim bergantung sektor industri. UU PDP Pasal 58-59 memberi kewenangan kepada lembaga pengawas sektoral (OJK untuk keuangan, BPKN untuk kesehatan, dll.) dan Kementerian Kominfo sebagai koordinator umum.

Langkah 1: Ajukan langsung ke pengendali data

Kirim permintaan tertulis (email/surat/form online) ke Data Protection Officer (DPO) perusahaan. Pasal 55 UU PDP mewajibkan pengendali data menunjuk DPO dan publikasikan kontaknya. Sertakan: (a) identitas Anda (nama, email terdaftar), (b) hak yang diklaim (misal: hak hapus), (c) alasan spesifik, (d) bukti pendukung jika ada. Contoh template: "Saya [nama], pengguna layanan [X] dengan email [Y], mengajukan hak hapus data sesuai Pasal 5 ayat (1) huruf c UU No. 27/2022 karena akun telah ditutup sejak [tanggal]. Mohon konfirmasi penghapusan dalam 14 hari kerja."

Langkah 2: Eskalasi ke lembaga pengawas sektoral

Jika pengendali data tidak respons dalam 14 hari atau menolak tanpa alasan jelas, laporkan ke:

• Sektor keuangan (bank, fintech, asuransi, pinjol): OJK via https://kontak157.ojk.go.id atau telepon 157. OJK punya Integrated Consumer Assistance (IKA) yang wajib selesaikan pengaduan dalam 20 hari kerja sesuai POJK No. 1/2013.
• Sektor telekomunikasi & digital umum: Kementerian Kominfo via https://www.kominfo.go.id/layanan-pengaduan atau email [email protected]. Direktorat Jenderal Aplikasi Informatika menangani kasus e-commerce, media sosial, aplikasi.
• Sektor kesehatan: Badan Perlindungan Konsumen Nasional (BPKN) dan Kementerian Kesehatan untuk rumah sakit/klinik yang bocorkan rekam medis.

Langkah 3: Jalur hukum jika perlu

Pasal 67 UU PDP membuka jalur gugatan perdata untuk ganti rugi materiil dan immateriil jika terbukti ada pelanggaran. Anda bisa ajukan ke Pengadilan Negeri setempat dengan bukti: (a) screenshot komunikasi dengan DPO, (b) laporan ke lembaga pengawas, (c) bukti kerugian (misal: rekening dibobol gara-gara data bocor). Preseden awal belum banyak karena UU baru, tapi rujukan bisa ke GDPR cases di Eropa—contoh: denda €50 juta untuk Google oleh otoritas Prancis tahun 2019 karena tidak transparan soal penggunaan data iklan.

Apa sanksi bagi perusahaan yang melanggar?

Pasal 57 dan 58 UU PDP mengatur sanksi administratif bertingkat:

1. Peringatan tertulis—diberikan jika pelanggaran pertama kali dan tidak ada kerugian signifikan.
2. Penghentian sementara kegiatan pemrosesan data—bisa 3-6 bulan, fatal untuk bisnis digital.
3. Penghapusan atau pemusnahan data pribadi—untuk kasus bocor data masif tanpa mitigasi.
4. Denda administratif maksimal Rp100 miliar atau 2% dari pendapatan tahunan (pilih yang lebih besar)—berlaku untuk pelanggaran berat seperti jual data tanpa izin, tidak tunjuk DPO, atau tolak audit.

Sanksi pidana diatur Pasal 67: penjara maksimal 6 tahun dan/atau denda Rp6 miliar untuk perolehan data secara tidak sah atau pengungkapan data tanpa hak. Untuk korporasi, denda bisa dikalikan 3 (Pasal 68). Per Juni 2024, Kominfo telah menjatuhkan 12 sanksi administratif peringatan tertulis kepada platform digital yang belum tunjuk DPO, meski belum ada kasus denda maksimal.

Apa yang harus disiapkan konsumen sebelum klaim?

Dokumentasi kuat mempercepat proses. Siapkan:

• Screenshot atau salinan digital dari privacy policy dan consent form yang Anda setujui saat daftar—ini bukti kontrak awal.
• Email konfirmasi, notifikasi, atau komunikasi dengan customer service terkait data Anda.
• Riwayat transaksi atau aktivitas akun yang relevan dengan klaim (misal: tanggal tutup akun untuk hak hapus).
• Identitas resmi (KTP/paspor) untuk verifikasi—pengendali boleh minta ini sesuai Pasal 36 ayat (4) untuk cegah fraud.

Hindari memberikan informasi tambahan yang tidak diminta. Jika perusahaan minta data sensitif di luar keperluan verifikasi (misal: password, PIN, foto selfie dengan KTP untuk sekadar minta salinan data), itu red flag—laporkan ke OJK atau Kominfo.

Bagaimana dengan data yang sudah bocor sebelum UU PDP berlaku?

UU PDP tidak berlaku surut (Pasal 72), artinya pelanggaran sebelum 17 Oktober 2022 tidak bisa dituntut dengan UU ini. Namun Anda tetap bisa gunakan UU ITE (Undang-Undang Informasi dan Transaksi Elektronik) No. 19/2016 Pasal 26 tentang perlindungan data pribadi dalam sistem elektronik, atau gugat perdata dengan dasar perbuatan melawan hukum (PMH) sesuai Pasal 1365 KUH Perdata. Contoh: kasus bocor 1,3 juta data pengguna e-commerce Tokopedia tahun 2020—korban bisa ajukan class action dengan dasar PMH, meski prosesnya lebih rumit tanpa kerangka UU PDP.

Untuk data yang bocor setelah Oktober 2022 tapi sebelum masa transisi berakhir (Oktober 2024), pengendali bisa kena sanksi administratif jika terbukti lalai, meski enforcement penuh baru mulai pasca-transisi. Kominfo per Maret 2024 sudah terbitkan 3 Peraturan Menteri turunan tentang standar teknis perlindungan data, sertifikasi DPO, dan mekanisme notifikasi insiden—semuanya wajib ditaati sejak publikasi.

Apakah ada biaya untuk mengklaim hak ini?

Tidak. Pasal 5 ayat (2) UU PDP menegaskan pelaksanaan hak subjek data tidak dipungut biaya, kecuali permintaan "berlebihan atau tidak berdasar"—misal, minta salinan data yang sama 10 kali dalam sebulan tanpa alasan jelas. Dalam kasus seperti itu, pengendali boleh kenakan "biaya administratif wajar" atau tolak permintaan, tapi harus beri alasan tertulis. Standar "wajar" belum ada aturan teknisnya; praktik GDPR biasanya €5-10 per permintaan duplikat.

Pengaduan ke OJK, Kominfo, atau BPKN juga gratis. Jalur hukum (gugatan perdata) baru ada biaya—perkara sederhana di Pengadilan Negeri mulai dari Rp500 ribu untuk biaya pendaftaran, belum termasuk advokat jika Anda pakai.

"Konsumen harus proaktif memahami hak-haknya. Perusahaan wajib sediakan mekanisme klaim yang mudah—jika rumit atau tidak responsif, itu indikasi mereka belum compliant. Laporkan segera ke pengawas sektoral." — Pedoman Umum Pelindungan Data Pribadi, Kementerian Kominfo, 2023.

Apa peran Data Protection Officer (DPO)?

Pasal 55 UU PDP mewajibkan pengendali data menunjuk DPO jika: (a) memproses data berskala besar, (b) aktivitas inti melibatkan pemantauan sistematis (misal: platform media sosial, fintech credit scoring), atau (c) memproses data sensitif (kesehatan, biometrik, keyakinan). DPO bertindak sebagai contact point antara perusahaan, konsumen, dan lembaga pengawas. Tugasnya: (1) memastikan compliance internal, (2) tangani permintaan hak subjek data, (3) lakukan audit berkala, (4) laporkan insiden ke otoritas dalam 3x24 jam sesuai draft Permenkominfo tentang Notifikasi Insiden.

DPO harus independen—tidak boleh rangkap jabatan sebagai direktur atau pemegang keputusan bisnis utama (conflict of interest). Kominfo mulai Juni 2024 wajibkan sertifikasi DPO melalui Lembaga Sertifikasi Profesi (LSP) terakreditasi. Cek apakah perusahaan sudah tunjuk DPO di website atau privacy policy mereka—jika tidak ada, itu pelanggaran dan bisa dilaporkan.